Zitat:

Zitat von Undertaker

Siehst Du, genau das meine ich mit dem Lesen.
Nix hast Du gelesen.
Du wüsstest sonst, dass der decrypthelper und die anderen Tools nur bei der locked- Version helfen und bei FGHtzDrTVGBnhj unwirksam sind.

Weiterhin hättest Du auch den Reparaturthread für die neue 12k-Version bemerkt und etwas über JPEG-Recovery gelesen.

Das ist alles schon hundertmal beschrieben.
Vielleicht verstehst Du nun, dass einem das ständige Widerkauen zum Halse raushängt, nur weil die Leute zu faul sind, sich über das Machbare für ihr selbstverschuldetes Problem zu informieren und die Lieferung auf dem silbernen Tablett erwarten.

Volker

Zitat:

Zitat von Sven S.

Hallo Volker,

was erwartest Du? Die Personen, die alles gelesen haben haben die Email mit der Schadsoftware wohl auch nicht richtig gelesen und können keine Zusammenhänge deuten. Hab etwas Mitleid ;-).

Hi Leute,
ich bin neu hier. Es liegt mir eigentlich total fern, mich gleich mit dem ersten Beitrag zu beschweren, denn ich finde es ganz große Klasse, dass es hier Menschen gibt, die ihre Zeit dafür opfern Lösungen für Probleme zu finden, die Andere durch ihr unbedachtes Handeln fabriziert haben.

Aber wenn ich solche Antworten lese wie von Volker oder Sven, dann muss ich ehrlich gestehen, dass ich mich schon gar nicht mehr traue mein Problem zu schildern.

Mein PC wurde auch von diesem scheiß Trojaner befallen und ich sitzte hier seit mehr als 6 Stunden - lese das Forum rauf und runter - habe sämtliche Tools ausprobiert - habe das Internet nach weiteren Möglichkeiten durchforstet - alles leider ohne Erfolg. Meine Daten bleiben verschlüsselt.

Aber keine Sorge, ich werde nicht alles nochmal widerkäuen, ich fasse mich in Geduld und hoffe, dass es demnächst auch ne Lösung für das " FGHtzDrTVGBnhj" Problem gefunden wird, denn mir ist mit einer Formatierung und Neuaufspielen des Betriebssystems nicht geholfen. Ich brauche meine Daten zurück !!

Von mir aus kann mein Post jetzt auch wieder sanft hinaus begleitet werden, aber ich musste es einfach los werden. Sorry

Zitat:

Zitat von Ansasafi

... ich sitzte hier seit mehr als 6 Stunden - lese das Forum rauf und runter - habe sämtliche Tools ausprobiert - habe das Internet nach weiteren Möglichkeiten durchforstet...

moin moin Ansasafi,
genau das unterscheidet Dich von den von mir angesprochenen Betroffenen.

Zitat:

- alles leider ohne Erfolg. Meine Daten bleiben verschlüsselt.
...
ich fasse mich in Geduld und hoffe, dass es demnächst auch ne Lösung für das " FGHtzDrTVGBnhj" Problem gefunden wird

Auch hier sieht man wieder den Unterschied.
Du weißt dass das "Problem" einer universellen Entschlüsselung für diese Art der Dateiverschlüsselung besteht und nicht durch Dateipaare a la locked- zu lösen ist.

Vielleicht kannst Du auch nachvollziehen, dass einem manchmal die Hutschnur platzt, wenn man schlimmstenfalls angemacht und beschimpft wird, dass man Unsinn faselt, weil die Tools nicht helfen.

Auch ist es nicht nachvollziehbar, dass viele das Angebot der individuellen Hilfe nicht nutzen.
Einzige Erklärung für mich, sie wissen es nicht, weil sie es nicht nachlesen.

Für die FGHtzDrTVGBnhj Dateien gibt es ja zumindest Teilerfolge, abhängig von der Dateiart.
So sind MP3s ohne Probleme zu retten und für viele JPGs gilt das gleiche.
Der Shadow-Explorer ist ja auch ein mächtiges Werkzeug, solange die Option der Schattenkopien aktiv war.

Gruß Volker

Zitat:

Zitat von ShitHappens

Ich surfe allerdings öfter auf, sagen wir mal: Seiten mit netten Filmchen . Ist bekannt wie viel Zeit von der Infektion bis zum Aktivwerden des Trojaners vergeht?

Der Trojaner ist in Sekunden fertig, er überschreibt je nach Version nur ca, 3 kB der Dateien. Selbst bei tausenden Dateien ist dank moderner schneller Platten das in kürzester Zeit erledigt. Zur Zeit sind die Dateien ohne folgenden Tipp unrettbar.
Solltest Du Volumenschattenkopien schon immer aktiviert haben ist nach einer Desinfektion Shadow Explorer vielleicht für dich eine Hilfe.

Zu den Seiten mit netten Filmchen: überlege dir einen etwas sichereren Browser zu benutzen, z.b. den neuen Chrome mit Sandbox Technik. Oder eine virtuelle Maschine, ohne Werbung machen zu wollen, in der letzten com! Zeitschrift, 7.2012 steht beschrieben wie man die handhabt.
Der Firefox ist anfällig, habe ich schon genug infizierte Laptops in der Hand gehabt.

Hi,

ich habe mal eine technische Frage. Warum ist es denn so viel einfacher eine durch diesen Trojaner verschlüsselte JPEG-Datei wiederherzustellen, als eine DOC-Datei?

Danke euch schon mal für meine Erleuchtung.

EDIT: Kann man eigentlich noch irgendwie nachvollziehen (ohne die Original Datei zu kennen) um welchen Dateityp es sich handelt?

Gruß

Hallo Leute,

ich bin neu hier aber ein "alter" Forumserfahrener.
Also ist stelle keine fragen ohne vorher zu lesen!
Egal, Themawechsel

Seit 2 Tagen bin ich in diesem Thema am lesen und halte die Füße still.
Möchte aber auch etwas beitragen können:

Habe gerade eine Mailfrische Mail erhalten die ich naturlich nicht geöffnet habe!



Sehr geehrter Rainer Kuck,

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Mahnungsschreiben haben Sie ebenfalls nicht reagiert.

Artikel: Nikon IDK CD
Artikelnummer: 3478090118981
Stück: 2
Zwischensumme: 544,58 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Beilagen:
- Zahlschein
- Bestellung

Mit freundlichen Grüßen

FOTO THUN GMBH






Avira hat nichts gefunden!
Bin mir aber sicher das es ein Virus ist!
Wer möchte denn diese schöne Mail zu Testen oder was auch immer haben?
Oder einfach dahin: hxxp://markusg.trojaner-board.de ?

Nichts desto trotz.
Ich habe hier 2 rechner, ein Laptop mit Win7 und ein rechner mit XP.
Das Laptop hat die rhzgdssgj7ikjtr433 Variante erwischt.
Der Rechner hat die Originalnamen und Endungen, doch wenn man eine zB Exeltabelle öffnet stehen da nur Hyroglyphen drin!


Ich vertraue auf die Cracks hier, die sich den Ar... aufreissen um leuten zu helfen die sie gar nicht kennen!
Ganz Herzlichen Dank!

Gruß Rainer

Zitat:

Zitat von icaros

Hi,

ich habe mal eine technische Frage. Warum ist es denn so viel einfacher eine durch diesen Trojaner verschlüsselte JPEG-Datei wiederherzustellen, als eine DOC-Datei?

Danke euch schon mal für meine Erleuchtung.

Hallo icaros,
das liegt am strukturellen Aufbau des jeweiligen Dateityps.
JPGs sind segmentiert, das heißt, zwischen einzelnen Bilddatenpaketen existieren Marker. Den Bilddekoder interessieren nur die Bilddaten nach dem Marker, der Rest ist für ihn uninteressant.
Aus diesem Grunde kann man auch in einem JPG-Bild Informationen verstecken und transportieren, die man nicht sieht und die den Decoder nicht kratzen. Für den Betrachter scheint das ein stinknormales Bild zu sein.
Decoder mit einer hohen Fehlertolleranz können somit noch Datenpackete erkennen und retten.
Nagle mich jetzt nicht im Detail fest, dazu weiß ich darüber zu wenig.

Übrigens gilt sowas ähnliches auch für MP3s, guckst Du hier.

Zitat:

EDIT: Kann man eigentlich noch irgendwie nachvollziehen (ohne die Original Datei zu kennen) um welchen Dateityp es sich handelt?

Da "nur" die ersten 12k der Datei verschlüsselt sind, ist es für Spezialisten sicher möglich, mit einem Hexeditor aus dem Rest der Datei auf das Format zu schließen.
Wenn beispielsweise in regelmäßigen Abständen FF D8 auftaucht, deutet das auf Marker eines JPGs hin.
Für uns Normalsterbliche ist das aber nicht zu erkennen.

Du kannst es testen.
Hänge an alle verschlüsselten Dateien ein .mp3.
Wenn der Player das abspielt, dann war es eine MP3.
Hänge an alle Dateien ein .jpg.
Wenn JPEG-Recovery ein Bild anzeigt, dann war es auch eins.

Gruß Volker

Zitat:

Zitat von kurai

Ich vertraue auf die Cracks hier, die sich den Ar... aufreissen um leuten zu helfen die sie gar nicht kennen!
Ganz Herzlichen Dank!

Gruß Rainer

Hallo Rainer,
Vertrauen ist gut, allein die Fakten sprechen eine andere Sprache.
So sind mittlerweile alle involvierten Coder der Meinung, dass nur eine behördliche Beschlagnahme oder das Hacken der C&C Server mit den Passwörtern Erfolg verspricht.
Inwieweit dann die Zuordnung des Passwortes auf die jeweilige Computer-ID des Betroffenen erfolgt wäre auch noch zu klären.

Die Hoffnung stirbt aber nie.

Gruß Volker

Zitat:

Zitat von ShitHappens

Hab übrigens XP 32 Bit. An eine zwielichtige Mail kann ich mich nicht erinnern. Ich surfe allerdings öfter auf, sagen wir mal: Seiten mit netten Filmchen . Ist bekannt wie viel Zeit von der Infektion bis zum Aktivwerden des Trojaners vergeht?

Ja, dubiose Seiten mit Browser- bzw. Browserplugins-Exploits hatten wir sind bei der nicht-verschlüsselnden Ransomware in dringendem Tatverdacht

Hallo... Ich bin neu hier und habe wie alle das fast gleiche problem... Mein freund bringt mich sonst um da sind soo viele Bilder drauf gewesen...

Ich habe seit gestern echt schiet problem mit meinem Rechner.. Habe ne email im Postfach gehabt Welche mit dem namen meiner Mutter gekommen ist. Dies war/ sollte eine rechung sein und ein anhang mit einer Zip datei war mit dran. die ich leider echt dummer neugieriger weise öffnen wollte. so richtig hatte ich nicht das gefühl das ich das geöffnet hatte..

naja dann hatte ich später als ich den rechner ausstellen wollte dieses Bild welches hier die seite schmückt auf dem rechner..
Habe dann rechner ausgemacht und hatte mir das heute erst angesehen was das genau war, und mit Malwarebytes gelöscht nun habe ich aber wie alle hier das problem das ich absolut KEINE Datein/ bilder lesen kann...

Hallo,
ich habe heute einen Rechner einer Bekannten bekommen. Er wurde gestern infiziert, sie meint von einer Webseite.

Virus ist bereinigt, jedoch bleiben die "verschlüsselten" Dateien.

Mittel Originaldatei und verschlüsstelte Datei vergleichen habe ich versucht den Code zu bestimmen. Erfolglos.

Anschließend habe ich festgestellt, dass die Dateien garnicht verschlüsselt sind. Gibt man den Dateien ihre richtige Endung, kann man sie wieder öffnen.

Leider ist der Dateiname dadurch nicht wiederhergestellt, und es wird schwer bei allen Dateien die richtige Endung herauszufinden.

Gibt es dafür eine Lösung?

[EDIT: Definitiv umbenant wurden .doc .docx .pdf .wma:: Nicht umbenannt wurde .mp3]

[Edit2: In der Registry befindet sich ein Autostarteintrag (run cu) namens ybova.exe. Sofern diese Datei aktiv läuft trägt sie den Registry Eintrag (sich selbst) wieder ein, sobald man ihn löscht]

Zitat:

Zitat von Heike28

Hallo... Ich bin neu hier und habe wie alle das fast gleiche problem... Mein freund bringt mich sonst um da sind soo viele Bilder drauf gewesen...

Ich habe seit gestern echt schiet problem mit meinem Rechner.. Habe ne email im Postfach gehabt Welche mit dem namen meiner Mutter gekommen ist. Dies war/ sollte eine rechung sein und ein anhang mit einer Zip datei war mit dran. die ich leider echt dummer neugieriger weise öffnen wollte. so richtig hatte ich nicht das gefühl das ich das geöffnet hatte..

naja dann hatte ich später als ich den rechner ausstellen wollte dieses Bild welches hier die seite schmückt auf dem rechner..
Habe dann rechner ausgemacht und hatte mir das heute erst angesehen was das genau war, und mit Malwarebytes gelöscht nun habe ich aber wie alle hier das problem das ich absolut KEINE Datein/ bilder lesen kann...

Hast Du Win7 oder Vista gehabt dann besteht vielleicht Hoffnung, wenn der Rechner wieder sauber ist.
Suche Shadow Explorer und schau ob du damit Dateien retten kannst. Es ist z.Z. die einzige Möglichkeit, es gibt noch ein Programm das Bilder z.b. reparieren kann, aber das auch nicht in 100% der Fälle.

Bitte beachte auch das:
hxxp://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html

Zitat:

Zitat von deraddi

Hast Du Win7 oder Vista gehabt dann besteht vielleicht Hoffnung, wenn der Rechner wieder sauber ist.
Suche Shadow Explorer und schau ob du damit Dateien retten kannst. Es ist z.Z. die einzige Möglichkeit, es gibt noch ein Programm das Bilder z.b. reparieren kann, aber das auch nicht in 100% der Fälle.

Bitte beachte auch das:
http://www.trojaner-board.de/69886-a...-beachten.html

Neim leider hatte ich kein Win 7 oder viast... Habe auf dem rechner noch das gute alte XP und bin absolut doof was Computer technik hintergrundwissen anbelangt

Zitat:

Zitat von Heike28

Neim leider hatte ich kein Win 7 oder viast... Habe auf dem rechner noch das gute alte XP und bin absolut doof was Computer technik hintergrundwissen anbelangt

Was die Bilder angeht kann dir vielleicht der User Forrest74 weiterhelfen:

hxxp://www.trojaner-board.de/member.php?u=105035

Zitat:

Zitat von deraddi

Was die Bilder angeht kann dir vielleicht der User Forrest74 weiterhelfen:

http://www.trojaner-board.de/member.php?u=105035

Ok ich versuche es mal werd mal den rechner noch mal anwerfen.. trau mich net.. will nicht noch mehr putt machen..:-)

Hi,

nachdem ich zur Zeit flach liege *würg* gibts noch nicht wirklich was neues. Auch bin ich noch ein "paar" Bilder am bearbeiten. Bitte um Geduld aber Familie liegt mit flach.

Am Tool werde ich weiter arbeiten sobald es wieder besser geht.

Also, an alle die mir schon Bilder geschickt haben - bitte etwas Geduld. Wird alles bearbeitet. Sollte noch wer Hilfe brauchen, meldet euch einfach per PN.

Grüße
Forrest

Hallo ,

ich bin seit heute auch neu angemeldet und habe leider diese nachricht wie fast alle auch bekommen per mail und habe den anhang geöffnet ich idiot !!!!

ich konnte den trojaner dann auch löschen ( durch systemwiederherstellung , anto ware etc) aber auf all meinen backups festplatten die virtuell erstellt wurden und darauf music bilder und dokumente waren wurden zu 80 % verschlüsselt....genau wie hier beschrieben durch unbenennung z. GkahkjdGHlajkdhkas ohne endung wie manch andere hier im Forum geschrieben haben...

Komischer weise haben die Daten alle noch die entsprechende Größe nur halt kein Format...

habe alle empfohlenen 8 tools benutzt ohne erfolg ausser jpg recovery aber dazu komme ich gleich....

ich habe alle music dateien die endung .mp3 dran gehängt und es wurde dementsprechend zu einer music datei...allerdings konnte ich es mit media player oder quick time nicht öffnen ABER MIT VCL....meine frage : WIESO ???

wie kann ich es wieder mit media player öffnen ?

zu den bildern habe ich jpg recovery benutzt funktioniert sogar und die bilder haben die entprechende größe aber WASSERZEICHEN !!! Welche möglichkeiten gibt es noch seine bilder zurück zu bekommen ???

es gibt auch dateien wo ich nicht weiß ob es txt oder doc oder pdf oder sonst ist wie kann ich es heraus finden wenn diese 8 tools nicht funktionieren und wiederherstellen ????


vorne weg : ICH HABE ALLE AUSPROBIERT VON SYSTEMWIDERHERSTELLUNG BIS SHADOW EXPLORER BIS EBEN ZU DEN TOOLS !!! NIX LEIDER NICHTS KLAPPT !!

leider habe ich auch keine ersatzdatei das waren ja schon backup festplatten

es muss doch irgendein tool geben das herausfinden kann was das für daten sind und es quasi rückgängig machen(entschlüsseln) OHNE original datein zu haben so wie die meisten tools das leider verlangen...

ich bin echt am verzweifeln...